§ 1
Předmět úpravy
Tato vyhláška zapracovává příslušný předpis Evropské unie1) a upravuje odvětvová a dopadová kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností podle § 22a odst. 1 zákona o kybernetické bezpečnosti.
§ 2
Odvětvová a dopadová kritéria
(1) Odvětvová kritéria jsou určena druhem služby, druhem subjektu a speciálním kritériem druhu subjektu.
(2) Speciální kritérium druhu subjektu zohledňuje významnost subjektu v jednotlivém odvětví.
(3) Odvětvová a dopadová kritéria jsou uvedena v příloze k této vyhlášce.
(4) K druhu služby, druhu subjektu a speciálnímu kritériu druhu subjektu uvedeným na témž řádku přílohy k této vyhlášce se vztahují dopadová kritéria stanovená pro dané odvětví, popřípadě pro danou část odvětví.
§ 3
Účinnost
Tato vyhláška nabývá účinnosti dnem 1. února 2018.
Příloha k vyhlášce č. 437/2017 Sb.
Odvětvová a dopadová kritéria pro určení provozovatele základní služby
Odvětvová a dopadová kritéria pro určení provozovatele základní služby
1. Energetika
1.2. Ropa
| Odvětvová kritéria | Dopadová kritéria | ||
|---|---|---|---|
| Druh služby | Druh subjektu | Speciální kritéria druhu subjektu | |
| 1.2.1. Provoz rafinérie, skladu nebo přenosového zařízení na ropu nebo těžba, zpracování nebo úprava ropy | Provozovatel zařízení na těžbu, zpracování, rafinaci nebo úpravu ropy, skladovacího nebo přenosového zařízení na ropu | a) Zařízení na těžbu, zpracování, rafinaci nebo úpravu ropy s instalovanou roční výrobní kapacitou minimálně 3 000 000 tun, b) zásobník nebo komplex zásobníků s kapacitou nejméně 20000 m3, c) skladovací zařízení na LPG o kapacitě nejméně 20 000 m3, d) produktovod s kapacitou přepravy produktů více než 3 000 000 tun ročně, e) přenosové zařízení na ropu nebo f) technický dispečink využívaný k provozu rafinérie, skladu, přenosového zařízení na ropu nebo k těžbě, zpracování nebo úpravě ropy. | Dopad kybernetického bezpečnostního incidentu v informačním systému nebo síti elektronických komunikací, na jejichž fungování je závislé poskytování služby, může způsobit I. závažné omezení či narušení druhu služby postihující více než 50 000 osob, II. závažné omezení či narušení jiné základní služby nebo omezení či narušení provozu prvku kritické infrastruktury, III. hospodářskou ztrátu vyšší než 0,25 % HDP, IV. nedostupnost druhu služby pro více než 1600 osob, která není nahraditelná jiným způsobem bez vynaložení nepřiměřených nákladů, V. oběti na životech s mezní hodnotou více než 100 mrtvých nebo 1000 zraněných osob vyžadujících lékařské ošetření nebo VI. narušení veřejné bezpečnosti na významné části správního obvodu obce s rozšířenou působností, které by mohlo vyžadovat provedení záchranných a likvidačních prací složkami integrovaného záchranného systému. |
| 1.2.2. Provoz ropovodu | Provozovatel ropovodu | a) Vnitrostátní ropovod s kapacitou přepravy ropy více než 500 000 tun ročně, b) koncové zařízení pro předání ropy nebo c) technický dispečink využívaný k provozu ropovodu. | |
1.3. Zemní plyn
| Odvětvová kritéria | Dopadová kritéria | ||
|---|---|---|---|
| Druh služby | Druh subjektu | Speciální kritéria druhu subjektu | |
| 1.3.1. Provoz plynárenského podniku | Plynárenský podnik podle příslušného předpisu Evropské unie2) | a) Výroba nebo těžba plynu v ročním objemu alespoň ve výši 15 % roční spotřeby České republiky. | Dopad kybernetického bezpečnostního incidentu v informačním systému nebo síti elektronických komunikací, na jejichž fungování je závislé poskytování služby, může způsobit I. závažné omezení, narušení či nedostupnost druhu služby postihující více než 50 000 osob, II. závažné omezení či narušení jiné základní služby nebo omezení či narušení provozu prvku kritické infrastruktury, III. hospodářskou ztrátu vyšší než 0,25 % HDP, IV. oběti na životech s mezní hodnotou více než 100 mrtvých nebo 1 000 zraněných osob vyžadujících lékařské ošetření nebo V. narušení veřejné bezpečnosti na významné části správního obvodu obce s rozšířenou působností, které by mohlo vyžadovat provedení záchranných a likvidačních prací složkami integrovaného záchranného systému. |
| 1.3.2. Provoz zařízení na rafinaci nebo úpravu plynu | Provozovatel zařízení na rafinaci nebo úpravu plynu | - | |
| 1.3.3. Prodej plynu | Obchodník s plynem podle energetického zákona | a) Systémy využívané k prodeji plynu, mající přímý vliv na dodávku plynu koncovým zákazníkům. | |
| 1.3.4. Provoz přepravní soustavy | Provozovatel přepravní soustavy podle energetického zákona | a) Provoz přepravní soustavy plynu nebo b) technický dispečink využívaný k provozu přepravní soustavy plynu. | |
| 1.3.5. Provoz distribuční soustavy | Provozovatel distribuční soustavy podle energetického zákona | a) Provoz distribuční soustavy plynu nebo b) technický dispečink využívaný k provozu distribuční soustavy plynu. | |
| 1.3.6. Provoz skladovacího zařízení | Provozovatel skladovacího zařízení podle příslušného předpisu Evropské unie3) | a) Provoz skladovacího zařízení nebo b) technický dispečink využívaný k provozu skladovacího zařízení. | |
| 1.3.7. Provoz zařízení LNG | Provozovatel zařízení LNG podle příslušného předpisu Evropské unie4) | a) Provoz zařízení provádějícího zkapalnění plynu nebo b) provoz zařízení provádějícího dovoz, vykládání nebo znovuzplynování LNG. | |
1.4. Teplárenství
| Odvětvová kritéria | Dopadová kritéria | ||
|---|---|---|---|
| Druh služby | Druh subjektu | Speciální kritéria druhu subjektu | |
| 1.4.1. Výroba tepelné energie | Držitel licence na výrobu tepelné energie podle energetického zákona | a) Zdroj tepelné energie, b) vyvedení tepelného výkonu ze zdroje tepelné energie nebo c) technický dispečink využívaný k výrobě tepelné energie. | Dopad kybernetického bezpečnostního incidentu v informačním systému nebo síti elektronických komunikací, na jejichž fungování je závislé poskytování služby, může způsobit I. závažné omezení, narušení či nedostupnost druhu služby postihující více než 25 000 osob, II. závažné omezení či narušení jiné základní služby nebo omezení či narušení provozu prvku kritické infrastruktury, III. hospodářskou ztrátu vyšší než 0,25 % HDP, IV. oběti na životech s mezní hodnotou více než 100 mrtvých nebo 1 000 zraněných osob vyžadujících lékařské ošetření nebo V. narušení veřejné bezpečnosti na významné části správního obvodu obce s rozšířenou působností, které by mohlo vyžadovat provedení záchranných a likvidačních prací složkami integrovaného záchranného systému. |
| 1.4.2. Provoz soustavy zásobování tepelnou energií | Držitel licence na rozvod tepelné energie podle energetického zákona | a) Rozvodné tepelné zařízení nebo b) technický dispečink využívaný k provozu soustavy zásobování tepelnou energií. | |
5. Zdravotnictví
| Odvětvová kritéria | Dopadová kritéria | ||
|---|---|---|---|
| Druh služby | Druh subjektu | Speciální kritéria druhu subjektu | |
| 5.1. Poskytování zdravotních služeb | Poskytovatel zdravotních služeb podle zákona o zdravotních službách | a) Celkový počet akutních lůžek v posledních třech kalendářních letech nejméně 400, b) statut centra vysoce specializované traumatologické, onkologické, cerebrovaskulární, kardiovaskulární, komplexní kardiovaskulární nebo perinatologické péče podle zákona o zdravotních službách, c) zajišťování urgentního příjmu podle zákona o zdravotnické záchranné službě v zařízení s celkovým počtem lůžek intenzivní péče v posledních třech kalendářních letech nejméně 40 nebo d) poskytovatel akutní lůžkové péče s průměrným počtem unikátních ošetřených pacientů v posledních třech kalendářních letech nejméně 100 000 zajeden kalendářní rok. | Dopad kybernetického bezpečnostního incidentu v informačním systému nebo síti elektronických komunikací, na jejichž fungování je závislé poskytování služby, může způsobit I. závažné omezení druhu služby postihující více než 50000 osob, II. závažné omezení či narušení jiné základní služby nebo omezení či narušení provozu prvku kritické infrastruktury, III. nedostupnost druhu služby pro více než 1 600 osob, která není nahraditelná jiným způsobem bez vynaložení nepřiměřených nákladů, IV. oběti na životech s mezní hodnotou více než 100 mrtvých nebo 1000 zraněných osob vyžadujících lékařské ošetření, V. narušení veřejné bezpečnosti na významné části správního obvodu obce s rozšířenou působností, které by mohlo vyžadovat provedení záchranných a likvidačních prací složkami integrovaného záchranného systému, nebo VI. kompromitaci citlivých osobních údajů o více než 200000 osobách. |
6. Vodní hospodářství
| Odvětvová kritéria | Dopadová kritéria | ||
|---|---|---|---|
| Druh služby | Druh subjektu | Speciální kritéria druhu subjektu | |
| 6.1. Výroba, dodávání nebo distribuce pitné vody nebo odvádění nebo čištění odpadních vod | Výrobce, dodavatel nebo distributor pitné vody nebo subjekt zajišťující odvod nebo čištění odpadních vod, s výjimkou distributora, pro něhož je distribuce pitné vody pouze částí jeho obecné činnosti spočívající v distribuci jiného zboží | a) Výroba, dodávky nebo distribuce pitné vody, b) čistírna odpadních vod, c) úpravna vody nebo d) provoz vodovodu nebo kanalizace. | Dopad kybernetického bezpečnostního incidentu v informačním systému nebo síti elektronických komunikací, na jejichž fungování je závislé poskytování služby, může způsobit I. závažné omezení druhu služby postihující více než 50 000 osob, II. závažné omezení či narušení jiné základní služby nebo omezení či narušení provozu prvku kritické infrastruktury, III. hospodářskou ztrátu vyšší než 0,25 % HDP, IV. nedostupnost druhu služby pro více než 1 600 osob, která není nahraditelná jiným způsobem bez vynaložení nepřiměřených nákladů, V. oběti na životech s mezní hodnotou více než 100 mrtvých nebo 1 000 zraněných osob vyžadujících lékařské ošetření nebo VI. narušení veřejné bezpečnosti na významné části správního obvodu obce s rozšířenou působností, které by mohlo vyžadovat provedení záchranných a likvidačních prací složkami integrovaného záchranného systému. |
| Odvětvová kritéria | Dopadová kritéria | ||
|---|---|---|---|
| Druh služby | Druh subjektu | Speciální kritéria druhu subjektu | |
| 7.1. Propojování technicky soběstačných sítí | Poskytovatel služby výměnného uzlu internetu (IXP) existujícího za účelem propojení sítí, které jsou z technického a organizačního hlediska oddělené | a) Propojení více než 50 autonomních sítí a průměrný datový tok naměřený v pětiminutovém intervalu za 24 hodin přesahující 50 Gb/s. | Dopad kybernetického bezpečnostního incidentu v informačním systému nebo síti elektronických komunikací, na jejichž fungování je závislé poskytování služby, může způsobit I. závažné omezení či narušení druhu služby postihující více než 50 000 osob, II. závažné omezení či narušení jiné základní služby nebo omezení či narušení provozu prvku kritické infrastruktury, III. hospodářskou ztrátu vyšší než 0,25 % HDP, IV. nedostupnost druhu služby pro více než 1 600 osob, která není nahraditelná jiným způsobem bez vynaložení nepřiměřených nákladů, nebo V. narušení veřejné bezpečnosti na významné části správního obvodu obce s rozšířenou působností, které by mohlo vyžadovat provedení záchranných a likvidačních prací složkami integrovaného záchranného systému. |
| 7.2. Poskytování služeb systému doménových jmen (DNS) na internetu | Poskytovatel služeb DNS | a) Poskytování služby autoritativního DNS a správa nebo hosting více než 10 000 domén druhého řádu. | |
| 7.3. Správa nebo provoz registru internetových domén nejvyšší úrovně | Subjekt spravující nebo provozující registr internetových domén nejvyšší úrovně | a) Správa registru internetových domén nejvyšší úrovně s počtem registrovaných domén přesahujícím 100 000. | |
7. Digitální infrastruktura
8. Chemický průmysl
| Odvětvová kritéria | Dopadová kritéria | ||
|---|---|---|---|
| Druh služby | Druh subjektu | Speciální kritéria druhu subjektu | |
| 8.1. Výroba technických plynů | Výrobce technických plynů | -- | Dopad kybernetického bezpečnostního incidentu v informačním systému nebo síti elektronických komunikací, na jejichž fungování je závislé poskytování služby, může způsobit I. závažné omezení či narušení druhu služby postihující více než 50 000 osob, II. závažné omezení či narušení jiné základní služby nebo omezení či narušení provozu prvku kritické infrastruktury, III. hospodářskou ztrátu vyšší než 0,25 % HDP, IV. nedostupnost druhu služby pro více než 1 600 osob, která není nahraditelná jiným způsobem bez vynaložení nepřiměřených nákladů, V. oběti na životech s mezní hodnotou více než 100 mrtvých nebo 1 000 zraněných osob vyžadujících lékařské ošetření nebo VI. narušení veřejné bezpečnosti na významné části správního obvodu obce s rozšířenou působností, které by mohlo vyžadovat provedení záchranných a likvidačních prací složkami integrovaného záchranného systému. |
| 8.2. Výroba hnojiv nebo dusíkatých sloučenin | Výrobce hnojiv nebo dusíkatých sloučenin | -- | |
| 8.3. Výroba pesticidů nebo jiných agrochemických přípravků | Výrobce pesticidů nebo jiných agrochemických přípravků | -- | |
| 8.4. Výroba výbušnin | Výrobce výbušnin | -- | |
| 8.5. Zpracování jaderného paliva | Subjekt zpracovávající jaderné palivo | -- | |
| 8.6. Výroba základních farmaceutických výrobků | Výrobce základních farmaceutických výrobků | -- | |
| 8.7. Výroba farmaceutických přípravků | Výrobce farmaceutických přípravků | -- | |
| 8.8. Výroba jiných základních anorganických látek | Výrobce jiných základních anorganických látek | -- | |
| 8.9. Výroba jiných základních organických chemických látek | Výrobce jiných základních organických chemických látek | -- | |